Недельный отчет о вирусах от 9 ноября 2004

Вебпланета

≡ Архив | архивная статья | 09.11.2004 15:17

В отчете Panda Software, посвященном событиям прошедшей недели, рассмотриваются черви Bagz.H и Mitglieder.AY, а также троянец Citifraud.A.

Bagz.H распространяется по электронной почте. Для этого он ищет адреса в файлах с расширениями DBX, HTM, TBB, TBI или TXT на пораженных компьютерах. Однако он не рассылает себя по всем найденным адресам, т.к. он избегает адресов, содержащих такие сочетания символов как abuse, admin или administrator и пр.

Сообщение, содержащее Bagz.H, не имеет фиксированного формата, так как тема, текст сообщения и имя вложенного в него файла могут изменяться. Если пользователь запускает вложение, Bagz.H устанавливает себя как сервис Xuy v palto. Более того, данный червь изменяет файл Windows hosts, не позволяя получить доступ к определенным веб-адресам.

Bagz.H также удаляет записи в Реестре Windows, принадлежащие определенным антивирусным программам и системам защиты, а также создает новые записи, позволяющие ему активироваться при каждом запуске компьютера.

Mitglieder.AY — это вредоносный код, тесно связанный с Bagle.BC и Bagle.BE (обнаруженным несколько дней назад), поскольку он пользуется результатами деятельности данных червей и попадает на компьютер непосредственно из интернета. Mitglieder.AY использет лазейку, создаваемую обеими версиями Bagle в порте TCP 81. Mitglieder.AY сканирует все IP-адреса, на которых открыт порт TCP 81. При обнаружении открытого порта он копирует себя на компьютер под именем winshost.exe.

После этого Mitglieder.AY завершает процессы в памяти компьютера, принадлежащие различным приложениям. Более того, каждые шесть часов он пытается загрузить файл zoo.jpg с определенного веб-адреса. В случае успешной попытки файл сохраняется на компьютере под именем File.exe. При запуске данного приложения на зараженный компьютер загружается другая вредоносная программа.

Заканчивает обзор описание троянца Citifraud.A, который представляет собой файл, составленный в формате HTML и использующий известную брешь в Microsoft Internet Explorer. Он содержит ссылку на веб-сайт известного банка. Однако на самом деле эта ссылка открывает фальшивый сайт, имитирующий заглавную страницу оригинального. Таким образом, троянец пытается похитить данные о счетах, которые вводит пользователь.

комментарии(0)

разделы: Архив